掌握些许 IPv6 要点，windows 远程桌面安全便利两相宜！

掌握这些要点，Windows 远程桌面安全便利两相宜！

在日常办公中，许多人会用到 Windows 系统的远程桌面功能。但在实际使用时，会遇到内网计算机难以通过运营商的动态 ip 与多层 NAT 向互联网暴露端口的技术问题，和计算机直接暴露在互联网导致易受攻击的安全性问题。既要满足远程桌面的使用需求，又得确保安全，这就需要一些巧妙的设置，其中与 IPv6 技术相关的要点尤为关键。

一、满足远程桌面需求的具体操作及安全考量

我们可以通过使用 IPv6 来给内网计算机分配全球唯一的地址，通过防火墙设置放行该 ip 地址的特定端口达到向互联网直接暴露远程桌面服务的目的。然后通过修改远程桌面默认端口为特定端口、日常上网继续使用随机 ip 地址等措施，进一步保障安全。最后，考虑到运营商提供的 IPv6 前缀总是不断变化的，可以使用 DDSN 技术通过域名访问计算机。

Windows 系统默认 IPv6 地址情况

Windows 系统默认使用随机的 IPv6 后缀地址。这种随机化虽在一定程度上保护隐私，但对于要通过 OpenWrt 防火墙设置固定目标地址以开放远程桌面访问来说，不太方便。

设置基于 EUI-64 算法的静态 IPv6 地址

PowerShell 方式：

Set-NetIPv6Protocol -RandomizeIdentifiers Disabled

CMD 方式：

netsh interface ipv6 set global randomizeidentifiers=disable store=persistent

UseTemporaryAddresses 设置建议

建议保留 Windows 系统中的 UseTemporaryAddresses 设置。开启此设置后，上网时系统会优先使用临时地址。当我们通过开放的远程桌面访问办公室电脑时，临时地址可降低真实 IPv6 地址暴露风险，进一步保障网络安全。虽然这一设置在很多资料中较少提及，但在网络安全实践中被证明非常有效。

二、IPv6 相关技术简介

IPv6 地址样式

IPv6 地址总长度 128 位，被划分为 8 段，其格式如下：

|----- 网络号 ------| 子网号|--------- 主机号 ---------| 前缀长度|
 0123 : 4567 : 89ab : cdef : 0123 : 4567 : 89ab : cdef /64

网络号：占据 48 位，由运营商分配，会动态变化，不同地区网络号不同，更新周期大致在一日到一周。（参考资料：《IPv6 技术详解》）

子网号：长度为 16 位。子网数量取决于运营商提供的 PD（Prefix Delegation）长度。若 PD 长度为 64，只能组建一个子网；若为 48，则最多可划分出 2^16（即 65535 个）子网，子网的使用可实现一些 IPv4 环境下借助 VLAN（虚拟局域网）才能达成的功能。（参考资料：IEEE 802.1Q 标准文档）

主机号：正式名称为 Interface Identifier（接口标识符），主机可依据特定规则自行计算得出，或随机或固定。

EUI - 64 (Extended Uinique Identifier)：这是一种依据 Mac 地址计算 Interface Identifier 的算法，其结果具有唯一性，这使得根据 IPv6 地址反向推导 Mac 地址相对容易。（参考资料：RFC 4291 文档）

IPv6 在远程桌面场景中的优势

IPv6 能为每个互联网设备分配唯一地址，相比 IPv4，解决了地址资源匮乏问题，可轻松实现远程桌面端口直接面向互联网开放，无需受限于 IPv4 下复杂的 NAT 设置。

三、参考资料

微软官方文档 - Set - NetIPv6Protocol

《IPv6 技术详解》

RFC 4291 文档